HUAWEI USG5500 NAT
网络4年前 (2019-02-28)
总公司三台服务器需要被分公司内网PC所访问
拓扑
总公司核心配置
vlan batch 10 20 # interface Vlanif10 上联防火墙地址 ip address 192.168.1.1 255.255.255.0 # interface Vlanif20 做为服务器网段网关 ip address 172.22.3.1 255.255.255.0 # interface GigabitEthernet0/0/1 上联防火墙 port link-type access port default vlan 10 # interface GigabitEthernet0/0/2 下联服务器1 port link-type access port default vlan 20 # interface GigabitEthernet0/0/3 下联服务器2 port link-type access port default vlan 20 # interface GigabitEthernet0/0/4 下联服务器3 port link-type access port default vlan 20 # ip route-static 0.0.0.0 0.0.0.0 192.168.1.2 默认路由去防火墙
总公司防火墙配置
interface GigabitEthernet0/0/0 下联总公司核心交换 ip address 192.168.1.2 255.255.255.0 # interface GigabitEthernet0/0/1 上联分公司接入交换 ip address 172.22.1.1 255.255.255.0 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet0/0/1 # ip route-static 172.22.2.0 255.255.255.0 172.22.1.2 去分公司网段 ip route-static 172.22.3.0 255.255.255.0 192.168.1.1 去总公司服务器网段
分公司接入交换配置
vlan batch 30 to 40 # interface Vlanif30 上联总公司防火墙地址 ip address 172.22.1.2 255.255.255.0 # interface Vlanif40 下联分公司防火墙地址 ip address 172.22.2.1 255.255.255.0 # interface GigabitEthernet0/0/1 上联总公司防火墙 port link-type access port default vlan 30 # interface GigabitEthernet0/0/2 下联分公司防火墙 port link-type access port default vlan 40 # ip route-static 172.22.3.0 255.255.255.0 172.22.1.1 去总公司服务器网段路由
分公司防火墙
interface GigabitEthernet0/0/0 上联分公司接入交换机 ip address 172.22.2.2 255.255.255.0 nat enable # interface GigabitEthernet0/0/1 做为分公司内网PC网关 ip address 192.168.1.1 255.255.255.0 # interface GigabitEthernet0/0/2 外网互联地址 ip address 222.222.222.222 255.255.255.0 nat enable # firewall zone trust set priority 85 add interface GigabitEthernet0/0/1 内网信任接口 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/2 互联网非信任接口 # firewall zone dmz set priority 50 add interface GigabitEthernet0/0/0 去总公司DMZ # ip route-static 0.0.0.0 0.0.0.0 222.222.222.221 默认路由器去互联 ip route-static 172.22.0.0 255.255.0.0 172.22.2.1 去总公司路由 # policy interzone trust untrust outbound policy 1 description TO-WAN action permit policy source 192.168.1.0 0.0.0.255 # policy interzone trust dmz outbound policy 1 description TO-SERVER action permit policy source 192.168.1.0 0.0.0.255
本站所有文章均可随意转载,转载时请保留原文链接及作者。